Оруулах цэг буюу Entry Point нь програмыг ажиллуулж эхлэх тушаалыг байрлуулах хаяг юм. Оролтын цэгийг олох нь аливаа програмыг судлах эхний алхамуудын нэг юм.
Зааварчилгаа
1-р алхам
EP (Entry Point) ба OEP (Original Entry Point) хооронд ялгах хэрэгтэй. EP гэсэн нэр томъёо нь задлагдсан (эсвэл хамгаалагчаар хамгаалагдаагүй) програмын хувьд хэрэглэгддэг. Хэрэв програм савлагдсан / хамгаалагдсан бол Entry Point-ийн байрлалыг packer-ийн эхний тушаалаар авах тул анхны нэвтрэх цэг болох OEP-ийг олох хэрэгтэй.
Алхам 2
Та нэвтрэх цэг, өөрөөр хэлбэл оролтын цэгийг задлаагүй програмаас янз бүрийн аргаар олж болно. Жишээлбэл, Peid програмыг ашигла. Үүнийг нээгээд цонхны баруун дээд хэсэгт шалгаж буй програмыг сонгох товчийг дарна уу. Туршилт хийхийн тулд Notepad (notepad.exe) -ийг нээгээд, энэ нь директорт байрладаг: C: WINDOWSsystem32. Та нэвтрэх цэгийн хаяг болон бусад дэлгэрэнгүй мэдээллийг харах болно.
Алхам 3
LordPE програмыг ашиглан нэвтрэх цэгийг тодорхойлохыг хичээ. Програмаа нээгээд PE Editor товчийг дараад notepad.exe файлыг сонгоод OK дарна уу. Нэвтрэх цэгийг эхний мөрөнд жагсаах болно.
Алхам 4
Olly дибаг хийгчийг ажиллуулаад notepad.exe-ийг нээнэ үү. Файлыг нээсний дараа дибаг хийгч өөрөө Entry Point дээр зогсох бөгөөд нэвтрэх цэгийн хаяг бүхий мөрийг саарал өнгөөр тодруулна.
Алхам 5
PE Explorer програмыг суулгана уу. Үүнийг ажиллуулаад notepad.exe файлыг нээнэ үү (Файл - Нээлттэй файл). Оролтын цэгийн хаягийг "Оруулах цэгийн хаяг" гэсэн мөрөнд жагсаах болно.
Алхам 6
Хэрэв програм савлагдсан бол та эхлээд задлах хэрэгтэй. Савлагчийг тодорхойлохын тулд Peid програмыг ашиглана уу. Үүнийг ажиллуулаад, дотор нь багласан програмыг нээнэ үү. "EP Section" мөрөнд боодол байх болно - жишээлбэл, UPX. Энэ нь задлахад танд энэ хувилбарын UPX эсвэл багцалсан UPX файлуудыг задлах боломжийг олгодог олон хэрэгслүүдийн аль нэг нь хэрэгтэй болно гэсэн үг юм. Хэрэв хэрэгслүүдийн аль нь ч үүнийг зохицуулж чадахгүй бол файлыг гараар задал. UPX гар аргаар задлах нарийн төвөгтэй байдлын талаар та эндээс мэдэж болно:
Алхам 7
Хэрэв програм хамгаалагчаар хамгаалагдсан бол Protection ID програмыг ашиглан хувилбарыг нь олж мэдээрэй. Үүнийг ажиллуулаад "Scan" товчийг дарж хэрэгтэй програмаа сонгоно уу. "Нээх" товчийг дарна уу. Програм нь хамгаалагч ба пакерийн талаархи мэдээллийг өгөх болно. Хэрэв хамгаалагч, савлагчдад зориулсан эдгээр сонголтууд нь мэдээллийн санд байгаа бол.
